24.4.09

Миф о 1-м января 2010 года

Вот решил пройтись по этому мифу, потому что как-то уж часто все ссылаются на эту дату, не до конца понимая, что она значит на самом деле. Итак, 1-е января 2010 года, с которого якобы все должны соответствовать требованиям.

На самом деле, многие должны соответствовать с 29 января 2007 года, когда вступил в силу ФЗ-152. Ведь в ФЗ написано, что с 01.01.2010 должны соответствовать ИСПДн, созданные ДО вступления ФЗ-152 в силу. Но ФЗ ни слова не говорит о ИСПДн, созданных ПОСЛЕ. Следовательно ИСПДн, созданные после 29 января 2007-го года, должны уже сейчас соответствовать требованиям законодательства.

Возникает вопрос "что значит созданы". Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" (он единственный говорит о создании АС, но, кстати, не ИС) процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Соответственно надо смотреть, какая дата стоит в этом акте.

Не совсем понятно, что делать, когда акта никакого нет ;-( Информационной системы как бы и нет вовсе ;-) А это очередной простор для деятельности юристов ;-)


17 коммент.:

Иван Клименко комментирует...

Какой же это миф? Так пугалка для нечитавших закон.

Не так давно тут всплыла тема рисков неисполнения требований закона. Если я не ошибаюсь пришли к выводу, что пока моральный ущерб 1-1,5круб, а штраф регулятора не более 10круб, работать ничего не будет. Насколько я помню, в КоАП готовят 5 статей (по словам Васильевой) и сейчас они по процедуре на втором чтении в ГД, по всей видимости принятие будет как раз к новому году, так что предлагаю пугать этой датой именно с точки зрения реально увеличивающегося наказания за неисполнение требований (~500круб), чем самими требованиями.

Quiet Zone комментирует...

Все-таки информационная система не одно и то же, что автоматизированная система, да и ГОСТ необязателен (в отличие от ФЗ). ФЗ не определяет порядок создания ИС, но имеет в виду момент начало предоставления соответствующих сервисов по обработке, хранению и тд. Явно не написано, но "прочитывается".

Алексей Лукацкий комментирует...

Ивану Клименко:Ну штраф может быть и больше. Существенно. Все зависит от желания регулятора. Невыполнил предписание - уже 500000 рублей (максимум). Послал ФСТЭК - приостановление деятельности на 90 дней. Развернуться и сейчас, где есть.

Quiet Zone:А понятие ИС вообще появилось только в трехглавом законе. Больше его нигде нет. И по сути, это АС + данные.

Ригель комментирует...

> это АС + данные

И плюс технологии обработки.

Отсюда есть хороший вопрос: кто должен классифицировать ИСПДн, если технические средства принадлежат одному юрлицу, база другого юрлица, а операторши трудятся в третьем?

Quiet Zone комментирует...

Я думаю собственник технических средств. На это наталкивает одна из предложенных вчера стратегий по уходу из под ФЗ - перевод обработки в оффшор. То есть как только в железках первого лица появились ПДн второго, этот первый попадает под действие закона.

Ригель комментирует...

2 Quiet Zone:

Это из здравого смысла или тройного приказа?
Фишка в том, что собственность на техсредства не дает ему права персданные читать, а без этого ни количество субъектов, ни категорию данных не определишь. Может техническая возможность-то и есть, а вот права ей воспользоваться нет.

Алексей Лукацкий комментирует...

Отсюда возникает еще вопрос. Что считать датой создания ИСПДн, если техсредства были куплены в 2006-м году, ИТ внедрены в 2008, а данные вносятся постоянно?...

Quiet Zone комментирует...

Ригель

Исклоючительно догадка:) Ну да, конечно, наличие данных не предполагает доступ к данным. Но три условия, которым по сути, должна отвечать ИСПДн, выполняются - есть средсво обработки, оно содержит информацию и вовсю использует технологии обработки (т.е. уже обрабатывает). То, что люди не имеют доступа к информации ИМХО говоорит лишь о степени автоматизации обработки.

Алексей

Я думаю с момента пересечения во времени трех компонент ИСПДн, которые я чуть выше описал. Грубо говоря, куплено оборудование, установлена 1С, и создана первая запись субъекта.

Quiet Zone комментирует...

Сорри за ошибки, под конец дня:(

Ригель комментирует...

> условия, которым должна
> отвечать ИСПДн, выполняются

Это говорит только о том, что перед нами ИСПДн.

По приказу трёх классификацию ИСПДн выполняет оператор ИС (не путать с оператором персональных данных, оператором связи, туроператором и т.п.).
По ФЗ-149 оператор ИС - это тот, кто эксплуатирует, и им может быть как собственник техсредств, так и нет.

Вот у меня есть ноутбук, я дал его тебе попользоваться, а ты давай туда сканы паспортов складывать. Я не знаю ни сколько их там, ни какие страницы, и даже о самом факте-то могу не догадываться.

Олег Кузьмин комментирует...

А почему это Миф? Что это обстоятельство принципиально меняет для проверяющих? Вон в МО РФ есть примеры, когда АС годами не принимались на вооружение. Называлось, это то опытной эксплуатацией, то испытаниями 1,2 .. очереди. Постепенно такие системы наполнялись реальными данными. Некоторые так лет по 10 и проработали не существующими.
По моему, отсутствие юридических оснований в отношении конкретной ИСПДн будет последним, что может прийти в голову проверяющему из контрольных органов, отправляющемуся на проверку, к примеру, 10 января 2010 года к какому-нибудь Телекому.

Хайров Игорь комментирует...

Получается, что оператор ИС перед проведением классификации выделяет только ту часть, в которой обрабатываются ПДн (т.е. ИСПДн) и только ее классифицирует. Соответственно, нет никакой необходимости классифицировать всю ИС. Чтобы сузить область, которая должна соответствовать 152-ФЗ и, соответственно, сузить классифицируемую область, можно воспользоваться, например, разбиением всей ИС на сегменты и выделить ИСПДн в один локальный сегмент.

Алексей Лукацкий комментирует...

Олегу: Миф в том, что проверяющим надо ждать 1-го января. Проверки можно проводить уже сейчас - закон дает такое право.

Игорю: Да, именно так и рекомендуется делать. Зачем себе создавать сложности?..

Quiet Zone комментирует...

Ригелю

Тогда уточню - очевидно бремя классификации лежит на том, кто распоряжается системой, а не ладеет или использует. То есть предоставляет к ней доступ. На технологическом уровне (решает, понятно, владелец информации). Хотя чем дальше в лес, тем толще партизаны((

Ригель комментирует...

Для Quiet Zone:

Система все только путает. Есть хозяин техсредств, хозяин техпроцесса и хозяин базы - ты про кого?
Для простоты полагаем, что в согласия дело не упирается (хотя это обстоятельство может не только вмешиваться, но и вообще доводить до анекдота: все трое на основании согласий, и ни в одном не указано операции, позволяющей хпд/хпдн оценить).

Анонимный комментирует...

Кстати!
Кто сказал, что ИСПДн - компьютерная база?
А картотека не Информационная система (ручной обработки!)персональных данных?

В принципе, все системы, не имеющие выходы в интер, (а в некоторых случаях и имеющие) вполне реально описать документарными методами защиты.

Кстати, читал форум на dom.bankir
и не понял один момент.
Если у меня сервер, не подключенный к интеру, имеющий 2 станции для ввода и распечатки данных, находящийся в закрытом, охраняемом помещении, то почему 781?

Поясните!

Анонимный комментирует...

Проблема как раз в определении ИСПДн, которое дает 152-ФЗ.
И в переводе слова "Automatic", из названия соответствующей конвенции...